見出し画像

#122「『起きなかった被害』こそ真のリスク――DX時代に必要な“攻めのリスクテイク”戦略」

久米村隼人 DATAFLUCT代表取締役CEO

デデデータ!!〜“あきない”データの話〜第88回「“起きなかった被害”の正体――三つのリスクパラドックスが経営を蝕む」の台本・書き起こしをベースに、テキストのみで楽しめるようにnote用に再構成したものです。podcastで興味を持った方により、理解していただくために一部、リファレンスをつけています。

3つのリスクパラドックス

三つのリスクパラドックスに潜む「起きなかった被害」の正体――攻めと守りを両立する組織が未来をつかむ

私はかつてリスクマネジメント担当として、またDXやAIといった新技術のコンサルタントとして、さまざまな企業の現場を見てきた。どの会社も「リスクは避けたい」「大きな事故は起こしたくない」という思いは同じだが、いざ蓋を開けると、想像とは異なるミスやパラドックスに陥っているケースが多い。とくに「まだ起きていない被害」への向き合い方で組織の未来は大きく変わってしまうのだ。

ここでは私が見てきた企業事例や、世の中で起きた大事故・大スキャンダルを引き合いに、リスクをめぐる三つのパラドックス(加えて、いわゆる“ゼロリスク”志向の過剰防御パラドックスも)を明かしたい。どれも「起きていない被害」にフォーカスするがゆえに、軽視・矮小化されやすいという共通点がある。これらを正しく認識すれば、リスクを避けるべきところと敢えて取るべきところの選別が鮮明になるはずだ。

第一のパラドックス:「見えないリスク」――本当は起きかけているのに認識できない

最初のパラドックスは、すでに不正やトラブルが潜在化しているにもかかわらず、組織がそれを「見えていない」と捉えてしまうケースだ。私はこの「見えないリスク・パラドックス」に多くの企業が陥っていると感じる。

代表例は、小売業でよく目にする棚卸差異や、製造業での内部不正、IT企業でのセキュリティホールなどだ。クレームや不正が顕在化していないと「大きな問題はないはずだ」と決めつけてしまい、本当はジワジワとダメージを受けていることに気づかない。たとえばスーパーの万引きや、レジ担当のスリップスキャン(不正値引き)などは金額としては一度あたり数百円~数千円の損失かもしれない。しかし店舗が数百店あれば年間で数千万円規模のダメージになる可能性は十分ある。実際、それを「誤差」として見過ごす会社が少なくない。

大手自動車部品メーカーのタカタが起こしたエアバッグの世界的大規模リコールは、まさに「小さな問題がずっと軽視され続けた結果、大損害に発展した」事例だ。初期段階の異常破損は「ごく一部の例外」と見做され、抜本対策を先延ばしにしていた。実際にはすでに“起きていた”欠陥が見逃されていただけなのだが、それに気づけなかった、あるいは対処を先延ばしした結果、企業破綻にまで至った。

私もリクルート時代に情報セキュリティを担当していたころ、「現場にセキュリティホールは本当にないのか?」とシナリオ分析を徹底してやっていた。すると「単に表面化していないだけで、内部的には危険度が高い」ものがいくつも見つかった経験がある。企業におけるセキュリティインシデントや内部不正は、問題が起きはじめても、最初はごく小さな規模だったり、見つけづらい形で現れる。だからこそ、「まだ大きく騒がれていないから大丈夫」と放置するのは危険極まりない。

認識バイアスを超えるには

この「見えていないリスク」を正しく可視化するには、平時からの内部監査や、数値化による定期レビューが有効だと考える。万引きや在庫ロスも「一店舗あたりの誤差」だけ見ていると小さいが、全店舗・全拠点の合計を見れば大きく膨れ上がることがある。さらに、システム監査やログ分析を適切に行えば、表面に現れていない不正アクセスやデータ漏洩の兆候も見逃しにくくなる。

次のパラドックスは、さらにやっかいな「何も起こらなかった」ことの勘違いだ。

第二のパラドックス:「何も起こらない」――まだ起きていないから過小評価する

リスクマネジメントの世界では「正常性バイアス」の威力がすさまじい。「今まで何も起きなかったから、今後も大丈夫」という誤解が広がりやすい。私はいろいろな企業でDXプロジェクトを立ち上げる際、セキュリティ対策費用やシステム冗長化の投資を削りたがる経営層に何度も遭遇してきた。言い分としては「ここまでシステム障害や大規模情報漏洩は起きてこなかったし、現時点で何も問題ないなら投資は無駄ではないか」というものだ。

だが、多くの場合「何も起こらなかった」のは、単に運が良かっただけだったり、そこそこ対策をしていたから被害が出なかっただけであり、リスクそのものが小さいと決まったわけではない。福島第一原発事故がまさに典型だ。過去に津波被害が“たまたま”なかった地点だからこそ、想定外の大津波対策を後回しにしていた。NASAのスペースシャトル事故(チャレンジャー、コロンビア)も、断熱材剥離やOリング不具合が再三起きていたのに「今まで大事故になっていないから大丈夫」と過信してしまった組織文化の悲劇である。

このパラドックスが企業経営にも深く根を下ろしているのを私はよく見かける。DXシステムを導入して5年、10年と何も大きな障害が起きないと、「どうせ壊れないからメンテナンスの回数を削減しよう」となる。するとある日、老朽化したパーツが一気に故障してシステム全停止、顧客対応がストップ、株価下落……といった最悪のシナリオが待っている。いわゆる“ブラックスワン”と呼ばれる事象は、こうした「過去起きていないから軽視したリスク」が突如顕在化することで起こるのだ。

起きる前提で考える習慣をどう築くか
何も起こらない状況が続いているときこそ、本当は次の一手を考えるべきだ。とくにDX投資やセキュリティ投資は「起きないうちにこそ備える」のが鉄則である。米国のIT企業などでは、サイバー攻撃が“起きる前提”で演習を定期的に行い、いざというときの復旧手順を徹底している。これによって、実際のトラブルが起きても最小限の被害で済むし、隠れたバグや組織上の連絡不備を洗い出すことができる。

続いて、三つ目のパラドックスは「予防に成功すればするほど報われにくい」という逆説だ。

第三のパラドックス:「予防効果」――成果が「何も起きない」だから投資が削られる

これは防災や公衆衛生の領域で顕著だ。何も起こらないこと自体が成功の証なのに、「何も起こらなかったから対策は不要だ」と誤解される。私が以前コンサルした中堅企業でも、数年間コンプライアンス教育をしっかりやっていたため労務トラブルが起きていなかった。ところが「大した問題も起きないし、今後も社員はちゃんとしている」という理由で研修頻度を減らした結果、ハラスメント相談や労基署の是正勧告を受けるケースが増大してしまったのだ。

大規模な例では2000年問題(Y2K)が当てはまる。当時、世界中で莫大な費用をかけてシステム改修や検証をしたため、大惨事には至らなかった。「それ見たことか、結局何も起きなかったじゃないか」と揶揄されたが、それはまさに対策が効果を発揮した証拠であるのに、多くの人が「本来大してリスクはなかった」と誤解してしまう。予防が成功すると「何も起きない」という結果になり、対策の素晴らしさが見えなくなるのがこのパラドックスの厄介さだ。

ワクチンや災害インフラも同じだ。仮に水害を防ぐ大規模ダムを造って氾濫しなければ、「そもそも氾濫なんてしなかったのでは?」と文句を言われ、予算が削られる。いざ大洪水が起きて壊滅的被害を受けてからダム建設を検討すると、復興費は予防投資の数倍から数十倍に膨れ上がる。予防の意義は計り知れないが、成果が数字に現れにくいため後回しにされがちなのである。

予防効果を「見える化」するコツ

予防効果の価値を社内外に伝えるためには、損失シナリオの試算やシミュレーションをこまめに行い、「対策がなければ○○円の損失が発生した可能性がある」と期待値ベースで算出すると理解されやすい。リスク回避効果を数値化していけば、コスト意識の強い経営層でも納得しやすいはずだ。
ここまで三つのパラドックスを見てきたが、実はリスクを恐れすぎるあまりの“ゼロリスク”志向も、また別種のパラドックスを生むことがある。次はその「過剰防御」について触れたい。

補足:ゼロリスクの過剰防御が招く「もう一つのパラドックス」

三つのパラドックスは「リスクを過小評価する」誤謬だった。しかし実際の企業では、「絶対にミスを避けたい」「100%の安全を求めたい」と考えすぎて、必要以上のコストや別のリスクを背負うケースもある。私はこれを「ゼロリスク(過剰防御)パラドックス」と呼んでいる。

たとえば、セキュリティ対策を極端に厳しくしすぎて、社内でUSBメモリやクラウドサービスが一切使えないようなIT環境を作ってしまう会社もある。しかし業務上どうしてもデータを外部とやり取りしなければならないときに、従業員が勝手に“裏口”ツールを使ったり、私物端末を持ち込むなどの違反行為に手を染めやすくなってしまう。それによって「セキュリティを万全にしたつもりが、むしろ誰も把握していない抜け道が増える」という逆説的事態が起こるわけだ。

また、保険をかけすぎて企業の財務を圧迫する例もある。大手企業であれば分散投資や余剰資金が潤沢にあるかもしれないが、中小企業が過剰に保険料を払い続けると、攻めの投資に回せるお金がなくなり、事業成長を阻害してしまう。過度にリスクを避けることも、別のリスクや機会損失を生むという点を忘れてはならない。

リスクマネジメントは「過小評価」と「過剰防御」の間のバランス

リスクを甘く見ても、恐れすぎても危険である。リスクマネジメントはその中間で最適点を探り当てる行為だ。私は、この「両極端にならないバランス感覚」を鍛える方法として、リスク許容度(リスクアペタイト)の数値化を推奨している。「これだけの予算と時間をかける価値があるか」「最悪のシナリオでどこまでなら耐えられるか」を判断基準として明確にするのだ。

リスクを正しく見積もれば、むしろ攻める判断に自信を持てる

ここまで挙げた三つのパラドックスと、補足としてのゼロリスク・パラドックスは、すべて「リスクへの向き合い方の誤り」から生じるものだと私は考える。どれも本質的には、リスクを適切に評価できないまま意思決定してしまうことが原因である。では、どうすればリスクを正しく扱えるのか。

結論としては、**「リスクを数値化する」「シナリオごとに損失と確率を検討する」「必要なら撤退基準を設ける」**といった手順を踏むしかない。DX投資でも同じだ。AIを導入するにあたって、どのくらいの確率でバイアスや情報漏洩が発生しうるか、そのときの被害額はいくらかを試算し、その被害を最小限に抑える対策コストを加味した上で、リターン見込みと比較する。こうしたプロセスが明確なら、経営層は「リスクがあるからやめよう」ではなく「リスクはあるが、対策をしてなおリターンのほうが大きいなら踏み切ろう」という前向きな決断がしやすくなる。

私の経験上、リスクマネジメントをしっかりやっている企業ほど、新規事業やDXへのチャレンジに積極的だ。むしろ対策が中途半端な会社ほど「どうせリスクはわからないし、なんとなく怖いから」と言って攻めの投資を避けがちになる。三つのパラドックスが会社に巣くっていると、「大丈夫だろう」か「やっぱり怖いよね」の二択になり、メリハリのない意思決定が量産されるのだ。

攻めと守りを両立する組織が未来をつかむ

リスクマネジメント経営

結果として勝ち残るのは、戦略的にリスクを取る企業である。守りのセキュリティや法令順守、内部統制をしっかり固めた上で、ハイリスク・ハイリターンの投資に挑むことができる会社が、DX時代のスピード感に乗れる。結局、優れた経営者ほど「大博打」は打たないが、「十分見積もった上で攻めるときは攻める」というバランス感覚に優れている。

総括――「起きなかった被害」を過小評価してはいけない

三つのパラドックスは、どれも「まだ起きていない」または「顕在化していない」被害に焦点が当たっている。具体的には以下のように整理できる。

  1. 見えないリスク・パラドックス
    すでに小さな不正やトラブルが起きていても、気づかない・誤差扱いで済ませる。やがて大きな損失へ発展。

  2. 「何も起こらない」パラドックス
    過去に大きな事件が起きていないからといって、今後も安全とは限らない。本当は運や小さな対策で何とか回避してきただけかもしれない。

  3. 予防効果のパラドックス
    問題を未然に防ぐほど「何も起きなかったじゃないか」となり、次回から投資が削られる。次の大きな事故を招きやすい。

  4. ゼロリスク(過剰防御)パラドックス
    リスクを恐れるあまり必要以上に守りを固めてしまい、むしろ別のリスクや成長機会の損失を招いてしまう。

どのパターンも、本来必要なリスクマネジメントのバランスを失わせる。DXやAI、デジタル化に挑む現代では、こうした誤りが生じるリスクはさらに高まっている。技術が複雑化し、スピードが早いからこそ、「起きていないからOK」という過信や、「予防のおかげで無事だったのに無駄扱い」などのパラドックスは、一段とやっかいになると私は感じている。

だからこそ「見えていないリスク」を積極的に洗い出し、「何も起こっていない」ことを過信しすぎず、「予防効果」を正当に評価し、かつ「ゼロリスク」という幻想を捨てることが重要だ。企業が持続的に成長し、DX時代に競争力を保つためには、リスクを正しく見極める仕組みが欠かせない。リスクを恐れるだけでなく、チャンスを得るためにあえてリスクを取る覚悟も必要である。

ここから始める戦略的リスクテイク

最後に、私が推奨するアクションプランをまとめたい。

リスクパラドックスの可視化レーダーのイメージ

  1. リスク許容度を数値化する
    損失がどのくらいまでなら許容範囲なのか、具体的に金額や期間で決めておく。曖昧な「耐えられない気がする」ではなく、損失X万円まではOK、X万円超えたら撤退や経営判断を見直すといったルールを設定する。

  2. シミュレーションとPoC(試行)を重ねる
    新技術やDXの導入であれば、小さくPoCを実施してデータを取り、その結果をもとに本格稼働へ移行する。大きな投資をいきなり決めず、段階的にリスクをコントロールするのが要点だ。

  3. 予防対策の価値を「見える化」する
    予防が成功すると何も起こらないからこそ、対策がなかった場合の被害額を試算し、予防による回避コストを上層部に報告する。意識的に評価しないと、予防効果は埋もれがちになる。

  4. ゼロリスクを求めすぎない
    防御は大切だが、100%を追い求めるほど新たなリスクやコストが生まれることを忘れない。事業競争力を維持するためには、リスクと便益のトレードオフを考え、最適解を探る必要がある。

私はこれら四つを組み込んだリスクテイク戦略があれば、企業は過度に怯えることなく、成長を見据えた決断ができると確信している。三つのパラドックスをはじめとするリスク認知の歪みを正し、リスクを「敵」ではなく「克服すべき課題」として扱う。それこそが、DX時代に勝ち抜くための組織づくりの要諦ではないだろうか。

リファレンスノート

以下は、「三つのリスクパラドックス」と「戦略的リスクテイク」を中心に、リスクマネジメント全般の要点をまとめたリファレンスノートです。学術的背景・事例・実務的インプリケーションを体系的に整理しています。

1. 概要

1.1 リスクパラドックス(Risk Paradox)

  • 定義: リスクの大きさや発生確率が実際より過小評価されたり、逆に低確率なリスクを過度に恐れたりする認知の偏り。

  • 背景:

    • ヒューリスティックスや認知バイアス(Tversky & Kahnemanなど)により、確率や期待損失を正しく計算せず、感覚的にリスクを判断する傾向がある。

    • 本ノートでは「見えないリスクのパラドックス」「何も起こらないパラドックス」「予防効果のパラドックス」という三つの現象に注目している。

1.2 リスク許容度(Risk Appetite)

  • 定義: 組織がどの程度のリスク(損失・失敗・変動幅)を許容するかを数値化・明文化した指針。金融業界を中心に「リスクアペタイトステートメント」として広く用いられる。

  • 重要性:

    • 不確実性の高い新規事業・DX領域などでは、許容できるリスクの範囲が明確でないと現場の意思決定が進みにくい。

    • 「ゼロリスク志向」の経営姿勢は革新的施策を抑制するため、適度なリスクテイクを可能にする仕組みが求められる。

1.3 リスクマネジメントの基本フェーズ

  1. リスクの特定

  2. リスク評価(発生確率×影響度=期待損失)

  3. 対応策の選択(回避・低減・移転・受容)

  4. モニタリングと継続的改善

  • 関連用語:

    • BCP(Business Continuity Plan): 大規模災害やシステム障害が起きた際、事業を継続するための計画。

    • CSIRT(Computer Security Incident Response Team): 情報セキュリティ事故に対処する専門チーム。

    • 撤退基準: 新規事業が成果を出せなかった場合、どの指標や時期でプロジェクト終了を判断するかを定める。

1.4 関連理論とフレームワーク

  • リスクと不確実性: Knight (1921) の区別が有名。リスクは確率を見積もれるが、不確実性は測定が難しい。

  • ISO 31000 (ISO, 2018)、COSO (2017): 企業リスクマネジメントの標準フレームワーク。

  • 行動経済学: Kahneman & Tversky (1979) の「プロスペクト理論」がリスク認知の歪みを説明。

  • リアルオプション理論: Trigeorgis (1996)、Amram & Kulatilaka (1999) による、不確実な将来投資を段階的に評価する手法。

2. 三つのパラドックスの詳細

2.1 見えないリスクのパラドックス

  • 内容: 小さな損失や異常が既に発生しているのに「誤差」「大きな問題でない」と過小評価し、放置しがち。

  • : 小売業の棚卸差異やサイレントクレームなど。

2.2 「何も起こらない」パラドックス

  • 内容: 地道なメンテナンスやセキュリティ対策が奏功して問題が起きていないのに、「何も起こらない=リスクが小さい」とみなし、対策を打ち切ることで逆にトラブルを招く。

  • : データセンターの冷却設備点検を削減してしまい、猛暑日にシステムダウン。

2.3 予防効果のパラドックス

  • 内容: 防災・コンプライアンスなど「何も起きないことが成果」である対策は、成果が可視化しにくく評価されにくい。結果的に予算カットや対策縮小が起こる。

  • : 2000年問題(Y2K)の大規模対策の後、「本当に必要だったのか?」と疑われる構図。

3. 戦略的リスクテイクとの対比

3.1 リスクを「知ったうえで」敢えて取る企業

  • ハイリスク・ハイリターン: ベンチャー企業や投資ファンドは、成長や高収益を狙うために、あえてリスクを取る。ただし「撤退オプション」や「他の収益源」を用意するなど、リスクを認識したうえで管理している。

  • リアルオプション理論との親和性: 不確実な投資を分割し、小規模PoC(Proof of Concept)で効果を検証しながら段階的に拡大する手法は、成功率を高めやすい。

3.2 三つのパラドックスに陥る企業との違い

  • パラドックスに陥る企業: リスクが見えていない、または「起きない=問題なし」と錯覚し、実質的対策をしない。

  • 戦略的リスクテイク: リスクの存在を認識し、期待値・撤退基準・投資配分を計算したうえで意思決定を行う。

4. リスク認知ギャップ仮説

  • 定義: 経営方針や広報では「リスク管理が重要」と言っていても、実際の予算配分や現場対応でリスクを軽視する組織的なズレ。

  • 背景要因:

    1. 正常性バイアス: 「今まで大丈夫だったから今回も大丈夫」と思い込む。

    2. 損失回避バイアス: 目先コストを嫌うあまり、長期的リスクを無視する。

    3. 情報非対称: 現場で小さなトラブルを把握していても、経営層には大きな問題なしと報告されやすい。

    4. 評価指標の欠如: “起きなかった損失”や“予防効果”の計測が難しく、投資効果が見えにくい。

5. 主な事例

5.1 タカタのエアバッグ問題

  • 概要: 2000年代からの不具合報告を軽視し、大規模リコールへ発展。内部告発や小さな警告を無視した例として知られる。

5.2 東日本大震災と原発事故

  • 概要: 過去に大津波が起きていない地域で「想定外」とされたが、実際はリスクを想定していた部署もあった。正常性バイアスや組織のサイロ化が一因。

5.3 2000年問題(Y2K)

  • 概要: 巨額投資で混乱回避に成功したが、事後的に「大騒ぎしすぎたのでは?」と批判された。予防が成果を上げても評価されにくい典型例。

5.4 小売業の棚卸差異と内部不正

  • 概要: スーパーマーケットチェーンで年間1%超の棚卸差異を「誤差」と放置。調査するとレジ担当の不正や小規模万引きが累積していた。

  • ポイント: 「見えないリスク」を適切に把握しないまま経営陣に報告→対策が後回し。

5.5 データセンター冷却設備トラブル

  • 概要: 大手通信キャリアのデータセンターで冷却設備点検を削減。猛暑日にシステムダウンし、顧客企業に甚大な影響。

  • ポイント: 「何も起こらないパラドックス」により点検コストが削減され、BCP対策も後手に。

5.6 AI導入におけるバイアス問題

  • 概要: 人事採用AIが特定属性の応募者のみを推奨し、ダイバーシティを損なうケースが続発。学習データの偏りが原因。

  • ポイント: 未知のリスク(バイアス)が顕在化しておらず「見えないリスク」に分類される。

6. 実務的インプリケーション

6.1 リスクアペタイトの明確化

  • 狙い: どの範囲まで損失・誤差を許容し、どの範囲でゼロリスクを求めるのかを社内で合意形成する。

  • 効果: 現場レベルでの迅速な意思決定とリスクテイクが可能になる。

6.2 被害シナリオと確率の見える化

  • 「もし対策をしない場合、年間○%の確率で○千万円の損失」という形でシナリオ試算すると、予防投資が“保険”として機能することを経営層に伝えやすい。

6.3 ステージゲート方式・PoC

  • 新規事業や高額投資を一度にフルコミットするのではなく、小規模PoCやステージゲートを設定しながらリスクと効果を検証する。

6.4 バイアスへの組織的対処

  • 経営層への啓発: 行動経済学的バイアスの存在を理解し、重要意思決定で複数部門がクロスチェックする仕組みを導入。

  • 失敗事例の共有: 自社内外で起きた失敗を定期的に学習し、正常性バイアスを排除。

6.5 公共政策・社会的応用

  • 防災・公衆衛生でも同様のパラドックスが生じやすい。

  • インセンティブ設計(補助金や税制優遇)や被害シミュレーションの公開などで、予防対策の重要性を訴求。

7. DX推進とガバナンス

7.1 バランスの取り方

  • 課題: DXを急ぎすぎるとセキュリティ・コンプライアンス軽視のリスクが高まり、慎重に構えすぎると変革が進まない。

  • 解決策: リスクアペタイトを設定し、段階的にDXプロジェクトを進める。

7.2 AIによるリスク評価の自動化

  • メリット: 大量のデータからリアルタイムでリスクを数値化・監視できる。

  • 注意点: AI自体にバイアスや不具合が潜在し、メタレベルのリスクマネジメントが必要。

7.3 グローバルリスクへの対応

  • 背景: 地政学リスクやサプライチェーン分断など、企業単独で予測困難なリスクが増大。

  • 方策: シナリオプランニングや多面的な情報収集(外部専門機関との連携)が重要。

7.4 保険と保証サービスの進化

  • : サイバー攻撃・クラウド障害に特化した保険商品。

  • リスク: 過剰に保険に加入してコストを圧迫する「過剰防衛パラドックス」に注意。

8. 結論

  • 「見えないリスク」「何も起こらない」「予防効果」からなる三つのパラドックスはいずれも、「起きていない現象を根拠にリスクを軽視する」組織的心理を反映している。

  • 一方で、リスクを正しく認識し、期待値・撤退基準・分割投資を組み合わせて管理すれば、リスクテイクは企業成長やイノベーションの源泉となる。

  • “リスクを恐れるばかりでもなく、軽んじるわけでもない”バランスの取れた意思決定が求められる。

主要参考文献

  • Knight, F.H. (1921). Risk, Uncertainty and Profit.

  • ISO (2018). ISO 31000:2018, Risk management – Guidelines.

  • COSO (2017). Enterprise Risk Management—Integrating with Strategy and Performance.

  • Kahneman, D. & Tversky, A. (1979). “Prospect Theory: An Analysis of Decision under Risk.” Econometrica, 47(2), 263–291.

  • Trigeorgis, L. (1996). Real Options: Managerial Flexibility and Strategy in Resource Allocation. MIT Press.

  • Amram, M. & Kulatilaka, N. (1999). Real Options: Managing Strategic Investment in an Uncertain World. Harvard Business School Press.


いいなと思ったら応援しよう!